身份驗(yàn)證與網(wǎng)絡(luò)接入控制主要內(nèi)容AAARADIUS802.1x課程議題AAA介紹AAA（Authentication、Authorization、Accounting，認(rèn)證、授權(quán)、計(jì)費(fèi)）提供了對(duì)認(rèn)證、授權(quán)和計(jì)費(fèi)功能的一致性框架AAA是一個(gè)提供網(wǎng)絡(luò)訪問(wèn)控制安全的模型，通常用于用戶登錄設(shè)備或接入網(wǎng)絡(luò)。AAA主要解決的是網(wǎng)絡(luò)安全訪問(wèn)控制的問(wèn)題相對(duì)與其他的本地身份認(rèn)證、端口安全等安全策略，AAA能夠提供更高等級(jí)的安全保護(hù)。AAA介紹-cont.Authentication：認(rèn)證模塊可以驗(yàn)證用戶是否可獲得訪問(wèn)權(quán)。Authorization：授權(quán)模塊可以定義用戶可使用哪些服務(wù)或這擁有哪些權(quán)限。Accounting：計(jì)費(fèi)模塊可以記錄用戶使用網(wǎng)絡(luò)資源的情況?？蓪?shí)現(xiàn)對(duì)用戶使用網(wǎng)絡(luò)資源情況的記帳、統(tǒng)計(jì)、跟蹤。AAA基本模型AAA基本模型中分為用戶、NAS、認(rèn)證服務(wù)器三個(gè)部分用戶向NAS設(shè)備發(fā)起連接請(qǐng)求NAS設(shè)備將用戶的請(qǐng)求轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器認(rèn)證服務(wù)器返回認(rèn)證結(jié)果信息給NAS設(shè)備NAS設(shè)備根據(jù)認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果對(duì)用戶采取相應(yīng)認(rèn)證、授權(quán)、計(jì)費(fèi)的操作AAA的授權(quán)功能RADIUS服務(wù)器本地授權(quán)遠(yuǎn)端授權(quán)AAA的計(jì)費(fèi)功能遠(yuǎn)端計(jì)費(fèi)RADIUS服務(wù)器/TACACS服務(wù)器課程議題RADIUS協(xié)議特點(diǎn)客戶/服務(wù)器模型：網(wǎng)絡(luò)接入設(shè)備（NAS）通常作為RADIUS服務(wù)器的客戶端。安全性：RADIUS服務(wù)器與NAS之間使用共享密鑰對(duì)敏感信息進(jìn)行加密，該密鑰不會(huì)在網(wǎng)絡(luò)上傳輸?？蓴U(kuò)展的協(xié)議設(shè)計(jì)：RADIUS使用屬性-長(zhǎng)度-值（AVP，Attribute-Length-Value）數(shù)據(jù)封裝格式，用戶可以自定義其他的私有屬性，擴(kuò)展RADIUS的應(yīng)用。靈活的鑒別機(jī)制：RADIUS服務(wù)器支持多種方式對(duì)用戶進(jìn)行認(rèn)證，支持PAP、CHAP、UNIXlogin等多種認(rèn)證方式。RADIUS:Basics

AuthenticationDataFlowISPUserDatabaseISPModemPoolUserdialsmodempoolandestablishesconnectionUserID:bob

Password:ge55gepUserID:bob

Password:ge55gep

NAS-ID:207.12.4.1SelectUserID=bobBob

password=ge55gep

Timeout=3600

[otherattributes]Access-Accept

User-Name=bob

[otherattributes]Framed-Address=217.213.21.5TheInternetISPRADIUSServerInternetPPPconnectionestablishedRADIUS:Basics

AuthenticationDataFlowISPAccounting

DatabaseISPModemPoolAcct-Status-Type=Start

User-Name=bob

Framed-Address=217.213.21.5

…

...SunMay1020:47:411998

Acct-Status-Type=Start

User-Name=bob

Framed-Address=217.213.21.5

…

...

TheInternetISPRADIUSServerInternetPPPconnectionestablishedAcknowledgementTheAccounting“Start”Record驗(yàn)證當(dāng)用戶想要通過(guò)某個(gè)網(wǎng)絡(luò)(如電話網(wǎng))與NAS建立連接從而獲得訪問(wèn)其他網(wǎng)絡(luò)的權(quán)利時(shí)，NAS可以選擇在NAS上進(jìn)行本地認(rèn)證計(jì)費(fèi)，或把用戶信息傳遞給RADIUS服務(wù)器，由Radius進(jìn)行認(rèn)證計(jì)費(fèi)；RADIUS協(xié)議規(guī)定了NAS與RADIUS服務(wù)器之間如何傳遞用戶信息和記賬信息；RADIUS服務(wù)器負(fù)責(zé)接收用戶的連接請(qǐng)求，完成驗(yàn)證，并把傳遞服務(wù)給用戶所需的配置信息返回給NAS。本地（NAS）驗(yàn)證——PAP方式：PAP（PasswordAuthenticationProtocol）是密碼驗(yàn)證協(xié)議的簡(jiǎn)稱，是認(rèn)證協(xié)議的一種。用戶以明文的形式把用戶名和他的密碼傳遞給NAS，NAS根據(jù)用戶名在NAS端查找本地?cái)?shù)據(jù)庫(kù)，如果存在相同的用戶名和密碼表明驗(yàn)證通過(guò),否則表明驗(yàn)證未通過(guò)。本地（NAS）驗(yàn)證——CHAP方式

CHAP（ChallengeHandshakeAuthenticationProtocol）是盤問(wèn)握手驗(yàn)證協(xié)議的簡(jiǎn)稱，是我們使用的另一種認(rèn)證協(xié)議。SecretPassword=MD5（ChapID+Password+challenge）遠(yuǎn)端（Radius）驗(yàn)證——PAP方式：遠(yuǎn)端認(rèn)證——PAPSecretpassword=PasswordXORMD5（Challenge＋Key）(Challenge就是Radius報(bào)文中的Authenticator)我查……我算……我驗(yàn)……遠(yuǎn)端（Radius）驗(yàn)證——CHAP方式：遠(yuǎn)端認(rèn)證——CHAPSecretpassword=MD5（ChapID+Password+challenge）我查……我算……我驗(yàn)……認(rèn)證過(guò)程概述IEEE802.1x（Port-BasedNetworkAccessControl）是一個(gè)基于端口的網(wǎng)絡(luò)訪問(wèn)控制標(biāo)準(zhǔn)，為L(zhǎng)AN接入提供點(diǎn)對(duì)點(diǎn)式的安全接入?；诙丝诘木W(wǎng)絡(luò)接入控制（PortBasedNetworkAccessControl）只有用戶通過(guò)認(rèn)證，端口才被”開放“，否則端口處于”關(guān)閉“狀態(tài)802.1X的認(rèn)證的最終目的就是確定一個(gè)端口是否可用。對(duì)于一個(gè)端口，如果認(rèn)證成功那么就“打開”這個(gè)端口，允許文所有的報(bào)文通過(guò)；如果認(rèn)證不成功就使這個(gè)端口保持“關(guān)閉”，此時(shí)只允許802.1X的認(rèn)證報(bào)文EAPOL（ExtensibleAuthenticationProtocoloverLAN）通過(guò)。802.1x認(rèn)證體系802.1x是一個(gè)Client/Server結(jié)構(gòu)802.1x認(rèn)證體系中的組件懇求者系統(tǒng)（SupplicantSystem）認(rèn)證系統(tǒng)（AuthenticatorSystem）認(rèn)證服務(wù)器系統(tǒng)（AuthenticationServerSystem）802.1X機(jī)制ControlledUn-Controlled非受控端口主要是用來(lái)連接認(rèn)證服務(wù)器，以便保證服務(wù)器與交換機(jī)的正常通訊連接在受控端口的用戶只有通過(guò)認(rèn)證才能訪問(wèn)網(wǎng)絡(luò)資源EAPOLEAPOL802.1x認(rèn)證組件認(rèn)證服務(wù)器系統(tǒng)（AuthenticationServerSystem）提供認(rèn)證服務(wù)通常是一個(gè)RADIUS服務(wù)器將認(rèn)證結(jié)果返回給認(rèn)證系統(tǒng)EAPEAP（ExtensibleAuthenticationProtocol）懇求者與認(rèn)證系統(tǒng)之間使用EAP承載認(rèn)證信息EAP幀被封裝到LAN協(xié)議中（例如Ethernet），即EAPoL802.1x工作機(jī)制在客戶端與交換機(jī)之間，EAP協(xié)議報(bào)文（承載認(rèn)證信息）直接被封裝到LAN協(xié)議中在交換機(jī)與RADIUS服務(wù)器之間，EAP協(xié)議報(bào)文被封裝到RADIUS報(bào)文中，即EAPoRADIUS報(bào)文交換機(jī)在整個(gè)認(rèn)證過(guò)程中不參與認(rèn)證，所有的認(rèn)證工作都由RADIUS服務(wù)器完成當(dāng)RADIUS服務(wù)器對(duì)客戶端身份進(jìn)行認(rèn)證后，將認(rèn)證結(jié)果（接受或拒絕）返回給交換機(jī)，交換機(jī)根據(jù)認(rèn)證結(jié)果決定受控端口的狀態(tài)802.1X認(rèn)證過(guò)程常用的認(rèn)證計(jì)費(fèi)技術(shù)/方式PPPoE+RadiusWEBPortal+Radius802.1X+RadiusPPPoE認(rèn)證計(jì)費(fèi)技術(shù)Internet核心三層交換機(jī)PPPoE的BAS設(shè)備二層的樓棟交換機(jī)PPPoE的客戶端軟件Radius服務(wù)器瓶頸??！DHCP+Web認(rèn)證計(jì)費(fèi)技術(shù)Internet核心交換機(jī)WebPortal的BAS設(shè)備Radius服務(wù)器普通的接入交換機(jī)用戶瓶頸??！802.1X認(rèn)證計(jì)費(fèi)技術(shù)802.1X交換機(jī)認(rèn)證報(bào)文流業(yè)務(wù)數(shù)據(jù)流InternetRadius服務(wù)器核心交換機(jī)匯聚交換機(jī)高效??！匯聚交換機(jī)接入層啟用802.1x

接入層啟用802.1x接入層啟用802.1x

拓?fù)湫枨罂蛻舳酥鳈C(jī)需支持802.1x客戶端接入層（Access）交換機(jī)需支持802.1x支持標(biāo)準(zhǔn)RADIUS協(xié)議的RADIUS服務(wù)器配置要點(diǎn)接入層連接客戶端主機(jī)的訪問(wèn)端口需要啟用802.1x認(rèn)證某公司總部和分公司之間通過(guò)PPP鏈路連接，為了提高接入網(wǎng)絡(luò)的安全性，公司要求各分公司通過(guò)PPP鏈路接入公司總部時(shí)都要進(jìn)行認(rèn)證，為了不影響路由器的性能，考慮通過(guò)RADIUS服務(wù)器進(jìn)行AAA認(rèn)證。某企業(yè)網(wǎng)